Conti es considerado el ransomware de mayor éxito entre los grupos emergentes de este año

01 Diciembre 2020
Alto

El malware Conti hizo sus primeras apariciones en diciembre de 2019 pero no fue hasta mediados del 2020 que su participación fue más notoria y desde ese instante alertó a las empresas de seguridad por su gran parecido y probable relación con los ataques del ransomware Ruyk. Al día de hoy Conti es considerado de los grupos “emergentes” este año el con mayor éxito, contabilizando 142 víctimas de ransomware.

Ransomware Conti

Luego de su crecimiento a mediados de año, Conti comenzó a distribuirse a través de shells inversos abiertos por el troyano TrickBot después de que la actividad de Ryuk disminuyó en julio de 2020.

Dentro de las acciones que caracterizan a este malware se destaca que opera como un RaaS privado con la ayuda de otros delincuentes informáticos para cifrar y robar grandes cantidades de archivos y data a cambio de dinero, generalmente en BitCoins, por su rescate. Al igual que otros malwares, como NetWalker y Egregor, Conti creó su propio sitio web para la filtración de datos de sus víctimas. 

En uno de sus recientes ataques el equipo de Conti exigió 750 bitcoins, que son alrededor de $14 millones de dólares. Dicha petición es la que coloca a las empresas víctimas en una situación de apuro ya que cada día que pase y no se contacten con los actores del robo la cuota va aumentando en 0,5 bitcoins. 


Modo de operación

Como lo hemos abordado en anteriores boletines Trickbot es quien dará el acceso a los actores de amenazas para que implementen Ransomware Ryuk o Conti.

TrickBot es una infección de malware que se instala comúnmente a través de correos electrónicos de phishing maliciosos u otro malware. Una vez instalado, TrickBot se ejecutará silenciosamente en la computadora de la víctima mientras descarga otros módulos para realizar diferentes tareas.

Los actores detrás de Conti, una vez que logran vulnerar las redes corporativas, se propagan lateralmente hasta obtener acceso total a las credenciales y cuentas de administrador de dominio, el cual les permite implementar cargas útiles de ransomware para cifrar los dispositivos.

Conti utiliza una gran cantidad de subprocesos independientes para realizar el cifrado, lo que permite hasta 32 esfuerzos de cifrado simultáneos, lo que resulta en un cifrado más rápido en comparación con muchas otras familias. 

Archivos cifrados Conti Fuente: BleepingComputer


Conti también utiliza opciones de línea de comandos para permitir el control sobre cómo escanea en busca de datos, lo que sugiere que el malware comúnmente puede ser propagado y controlado directamente por un adversario. Este control introduce la nueva capacidad de omitir el cifrado de archivos locales y apuntar solo a los  recursos compartidos de SMB en red, incluidos los de direcciones IP proporcionadas específicamente por el adversario. Esta es una habilidad muy rara que se ha visto anteriormente con la  familia de ransomware Sodinokibi.  

Una nueva táctica utilizada por Conti y evidenciada en muy pocas familias de ransomware, es el uso del administrador de reinicio de Windows para garantizar que todos los archivos se puedan cifrar. Así como Windows intentará cerrar limpiamente las aplicaciones abiertas cuando se reinicie el sistema operativo, el ransomware utilizará la misma funcionalidad para cerrar limpiamente la aplicación que tiene un archivo bloqueado logrando por consiguiente que el  archivo se libere para el cifrado. 

Al cifrar una computadora, el ransomware agrega la extensión .CONTI a los archivos cifrados y colocará una nota de rescate llamada CONTI_README.txt en cada carpeta.


Comparte código con Ryuk Ransomware
Hay indicios de que este ransomware comparte el mismo código de malware que Ryuk, que se ha ido desvaneciendo lentamente, mientras que la distribución de Conti aumenta.
En algún momento, los actores de amenazas que usaban Ryuk se dividieron, cambiaron de marca o decidieron hacer la transición al nombre "Conti", que parece estar basado en el código de la versión 2 de Ryuk.

Además de las similitudes en el código de malware, se ha visto una nota de rescate de Conti más descriptiva que usa exactamente la misma plantilla utilizada por Ryuk en ataques anteriores.
Hasta julio era Ryuk el ransomware elegido por los distribuidores de TrickBot para infectar a sus víctimas. Ahora conti a tomado ese lugar.


Panorama

En general,  Conti representa un giro único en el ransomware moderno. Conti muestra una intención detrás del actor de responder también al reconocimiento para determinar servidores valiosos en el entorno que son sensibles al cifrado de datos. Su implementación de subprocesos múltiples, así como el uso del administrador de reinicio de Windows, muestra una característica de cifrado de datos increíblemente rápido y completo, esto sumado a su sitio de filtración conforman un ransomware que estará presente en el panorama de amenazas el año 2021.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Conti #Malware #Trickbot #Ryuk #Ransomware


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.